Ícono del sitio La Neta Neta

Así es como Google está renovando la seguridad de Gmail y Android

Así es como Google está renovando la seguridad de Gmail y Android

Deseoso de cambiar la conversación de su exposición de años de datos de usuario a través de Google+ al futuro brillante y brillante que brinda la compañía, Google ha anunciado algunos cambios en la forma en que se aprueban los permisos para las aplicaciones de Android. El nuevo proceso será más lento, más deliberado y, con suerte, seguro.

Los cambios son parte de “Project Strobe”, una “revisión de raíz y sucursal del acceso de desarrolladores de terceros a la cuenta de Google y los datos del dispositivo Android y nuestra filosofía sobre el acceso a los datos de las aplicaciones”. Básicamente, decidieron que era hora de actualizar el complejo y probablemente no del todo coherente conjunto de reglas y prácticas en torno a los desarrolladores de terceros y el acceso a la API.

Una de esas raíces (o quizás ramas) fue el error descubierto dentro de Google+, que teóricamente (la compañía no puede saber si fue abusado o no) expuso datos de perfil no públicos a aplicaciones que deberían haber recibido solo el perfil público de un usuario. Esto, combinado con el hecho de que Google+ nunca justificó realmente su propia existencia en primer lugar, llevó al servicio esencialmente al cierre. “La versión para consumidores de Google+ actualmente tiene poco uso y participación”, admitió Google. “El 90 por ciento de las sesiones de usuario de Google+ duran menos de cinco segundos”.

Pero el equipo que realiza la revisión tiene muchas otras sugerencias para mejorar el proceso de consentimiento informado para compartir datos con terceros.

El primer cambio es el más orientado al usuario. Cuando una aplicación quiere acceder a los datos de su cuenta de Google, digamos el contenido de Gmail, Calendario y Drive para una aplicación de productividad de terceros, tendrá que aprobar cada uno de ellos por separado. También tendrá la oportunidad de denegar el acceso a una o más de esas solicitudes, por lo que si nunca planea usar la funcionalidad de Drive, puede simplemente rechazarla y la aplicación nunca obtendrá ese permiso.

Estos permisos también pueden retrasarse y bloquearse detrás de las acciones que los requieran. Por ejemplo, si esta aplicación teórica quisiera darle la oportunidad de tomar una foto para agregarla a un correo electrónico, no tendría que preguntar por adelantado cuando la descargue. En cambio, cuando toca la opción para adjuntar una imagen, le pedirá permiso para acceder a la cámara en ese momento. Google entró en un poco más de detalle sobre esto en una publicación en su blog para desarrolladores.

En particular, solo existe la opción de “denegar” o “permitir”, pero no “denegar este tiempo” o “permitir este tiempo”, lo cual me parece útil cuando no estás totalmente de acuerdo con el permiso en cuestión. Siempre puedes revertir la configuración manualmente, pero es bueno tener la opción de decir “está bien, solo por esta vez, extraña aplicación”.

Los cambios comenzarán a implementarse este mes, así que no se sorprenda si las cosas se ven un poco diferentes la próxima vez que descargue un juego o actualice una aplicación.

El segundo y tercer cambios tienen que ver con limitar qué datos de su Gmail y mensajería pueden ser accedidos por las aplicaciones, y qué aplicaciones pueden tener acceso en primer lugar.

Específicamente, Google está restringiendo el acceso a estos tesoros de datos confidenciales a aplicaciones que “mejoran directamente la funcionalidad del correo electrónico” para Gmail y sus aplicaciones predeterminadas de llamadas y mensajería para registros de llamadas y datos de SMS.

Hay algunos casos extremos en los que esto puede resultar molesto para los usuarios avanzados; algunos tienen más de una aplicación de mensajería que recurre a SMS o integra respuestas de SMS, y esto puede requerir que esas aplicaciones adopten un nuevo enfoque. Y las aplicaciones que desean acceder a estas cosas pueden tener problemas para convencer a las autoridades de revisión de Google de que califican.

Los desarrolladores también deberán revisar y aceptar un nuevo conjunto de reglas que rigen qué datos de Gmail se pueden usar, cómo pueden usarlos y las medidas que deben tener para protegerlos. Por ejemplo, las aplicaciones no pueden “transferir o vender los datos para otros fines, como anuncios de orientación, estudios de mercado, seguimiento de campañas de correo electrónico y otros fines no relacionados”. Eso probablemente ponga fuera de juego algunos modelos de negocio.

Las aplicaciones que buscan manejar datos de Gmail también deberán enviar un informe que detalle “pruebas de penetración de aplicaciones, pruebas de penetración de redes externas, verificación de eliminación de cuentas, revisiones de planes de respuesta a incidentes, programas de divulgación de vulnerabilidades y políticas de seguridad de la información”. Claramente, no se permiten operaciones de vuelo nocturno.

También habrá un escrutinio adicional sobre qué permisos piden los desarrolladores para asegurarse de que coincida con lo que requiere su aplicación. Si solicita acceso a Contactos pero en realidad no lo usa para nada, se le pedirá que lo elimine, ya que solo aumenta el riesgo.

Estos diversos requisitos nuevos entrarán en vigencia el próximo año, con la revisión de la solicitud (un proceso de varias semanas) a partir del 9 de enero; los desarrolladores tardíos verán que sus aplicaciones dejarán de funcionar a fines de marzo si no cumplen.

La línea de tiempo relativamente corta aquí sugiere que algunas aplicaciones pueden, de hecho, cerrarse temporal o permanentemente debido a los rigores del proceso de revisión. No se sorprenda si a principios del próximo año recibe una actualización que dice que el servicio puede interrumpirse debido a las políticas de revisión de Google o similares.

Estos cambios son solo los primeros resultados de las recomendaciones del Proyecto Strobe; podemos esperar que aparezcan más en los próximos meses, aunque quizás no tan llamativos. Decir que las aplicaciones de Gmail y Android se utilizan ampliamente es una subestimación, por lo que es comprensible que se centren primero en ellas, pero hay muchas otras políticas y servicios que la empresa sin duda encontrará razones para mejorar.


Source link
Salir de la versión móvil